Table of contents
TOC
Collapse the table of content
Expand the table of content

Ubicación de un servidor de federación

Bill Mathers|Última actualización: 10/03/2017
|
1 Colaborador

Se aplica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Como procedimiento recomendado de seguridad, los servicios de federación de Active Directory de lugar (AD FS)servidores de federación delante de un firewall y conectarlos a la red corporativa para evitar la exposición de Internet. Esto es importante porque los servidores de federación tienen autorización completa para conceder los tokens de seguridad. Por lo tanto, deben tener la misma protección que un controlador de dominio. Si un servidor de federación se ve comprometido, un usuario malintencionado tiene la capacidad para emitir tokens de acceso completa a todas las aplicaciones Web y a los servidores de federación que están protegidos por los servicios de federación de Active Directory (AD FS) en todas las organizaciones de partner de recursos.

Nota

Seguridad recomendada, evitar que los servidores de federación accesibles directamente en Internet. Deberías asignarle a los servidores de federación acceso directo a Internet durante la configuración de un entorno de laboratorio de prueba o cuando la organización no tiene una red de perímetro.

Para las redes corporativas típicas, una intranet-apunta firewall se establece entre la red corporativa y la red perimetral y de Internet-firewall que apunta a menudo se establece entre la red perimetral e Internet. En esta situación, el servidor de federación se ubica en la red corporativa y no es accesible directamente por los clientes de Internet.

Nota

Los equipos cliente que están conectados a la red corporativa pueden comunicarse directamente con el servidor de federación mediante la autenticación integrada de Windows.

Un proxy de servidor de federación debe colocarse en la red perimetral antes de configurar los servidores de firewall para su uso con AD FS. Para obtener más información, consulta dónde colocar un Proxy de servidor de federación.

Configuración de los servidores de firewall de un servidor de federación

Para que los servidores de federación puedan comunicarse directamente con los servidores proxy de servidor de federación, el servidor de seguridad de intranet debe configurarse para permitir que el protocolo seguro de transferencia de hipertexto (HTTPS) tráfico de proxy del servidor de federación al servidor de federación. Este es un requisito porque el servidor de seguridad de intranet debes publicar el servidor de federación mediante el puerto 443 para que el proxy de federación de servidor en la red perimetral puede obtener acceso al servidor de federación.

Además, la intranet-cara al servidor de seguridad, como un servidor que ejecuta Internet Security and Acceleration (ISA) Server, utiliza un proceso conocido como publicación del servidor para distribuir las solicitudes de cliente de Internet en los servidores de federación corporativa apropiado. Esto significa que debe crear manualmente una regla de publicación de servidor en el servidor de intranet servidor ISA que publica la URL del servidor de federación clúster, por ejemplo, http:\/\/fs.fabrikam.com.

Para obtener más información sobre cómo configurar la publicación de servidores en una red perimetral, consulta dónde colocar un Proxy de servidor de federación. Para obtener información sobre cómo configurar el servidor ISA para publicar un servidor, consulte crear una regla de publicación Web segura.

Consulta también

Guía de diseño de AD FS en Windows Server 2012

© 2017 Microsoft